04 Sep 2018

La Ciberseguridad en el Sector Outsourcing

Sintámonos orgullosos de nuestros departamentos de Ciberseguridad porque, en un futuro no muy lejano, marcarán una diferencia significativa con nuestra competencia a la hora de aportar valor a nuestros clientes.

Pongámonos en situación

Actualmente la ciberseguridad es la gran asignatura pendiente de las empresas españolas.

¿Por qué? Porque el cambio cuesta, máxime si se rige por una clara relación entre a mayor Seguridad, mayor Inversión y porque la mayoría de los ataques a veces pasan desapercibidos, por lo que se suele tener una falsa sensación de seguridad.

Para dejarlo claro, y aunque la analogía sea algo extraña y desagradable, los ataques a nuestros sistemas, son como las cucarachas, por cada cuatro que ves, hay doscientas que no ves.

En un sector como el del Outsourcing en el que se manejan gran cantidad de datos de diversos clientes, es muy importante focalizarnos en mantenerlos protegidos.

 

¿Cómo podemos hacer esto?

Nuestro sector, al igual que otros muchos, está en constante cambio.

Las tendencias tecnológicas marcan el uso de Alojamiento y hosting Cloud, SaaS, en resumen, un pago por uso en multitud de proveedores lo cual dificulta mantener la seguridad con el enfoque tradicional.

Ya no podemos concebir nuestras infraestructuras y nuestra seguridad como algo físico, localizado y estático, por lo que nuestra visión debe ampliarse para cubrir multitud de puntos de fallo, accesos y vulnerabilidades que muchas veces no dependen de nuestros propios departamentos.

El control de los proveedores, eligiendo correctamente un compañero de viaje tecnológico, que nos asegure que mantiene un control exhaustivo de su infraestructura es vital, amén de la firma/revisión de toda la documentación (NDA, cláusulas de confidencialidad, contratos específicos, penalizaciones, revisión de sus políticas de Seguridad) que sea necesaria.

Debemos exigir el mismo nivel de Seguridad en nuestros proveedores que el que nos exigimos a nosotros mismos, y como el “ver para creer” sigue siendo lo más efectivo, las auditorías de seguridad se convierten en nuestro mayor aliado.

 

¿Entonces, nos olvidamos de la seguridad perimetral?

No, por supuesto que no.

La seguridad perimetral está y seguirá estando, ya que continuamos con la necesidad de tener  nuestros sistemas más críticos On-premises. Tan solo tenemos que hacer un ejercicio mental, para entender que el perímetro ahora, abarca unas fronteras virtuales que no controlamos ni vemos.

Hemos pasado de defender una isla, a ser los gestores de seguridad de un archipiélago de islas que no controlamos, por lo que de nuevo lo más importante es el CONTROL de los proveedores.

 

¿Cuál es el futuro de los Firewall?

Los Firewall van a seguir evolucionando hasta poder gestionar tráfico que ni siquiera pasa por ellos, se convertirán en equipos de monitorización y control, con los tradicionales IDS, IPS, WAF, etc.. o con integraciones de proveedores de seguridad de la nube que actúan de intermediarios entre nuestro tráfico e internet, estarán On-premise o en Cloud, pero estarán, aunque dejarán de ser la piedra angular de nuestra protección frente a ataques.

 

¿Cómo nos posicionamos en nuestro sector?

Sinceridad y honestidad ante todo, nuestros clientes deben tener visibilidad absoluta de nuestro nivel de seguridad,  permitiéndoles auditorías sobre nuestros sistemas, y mostrando evidencias.

Se deben establecer planes de respuesta a incidentes de seguridad (y ponerlos a disposición de nuestros clientes), claros, concisos y completos, que cubran desde la categorización del incidente hasta las acciones a realizar para mitigarlo, así como el personal asociado al departamento de Ciberseguridad, ya que es importante disponer de especialistas en hardening, pentesting y uso de herramientas de explotación o forense, entre otras muchas especializaciones que tiene que tener un profesional de ciberseguridad, que seguramente daría para otro artículo.

Otra opción es certificar nuestros procesos en normas como UNE-ISO 27001, estas certificaciones son un prueba empírica de nuestro compromiso con la seguridad de la información.

Por otro lado , la encriptación de los datos que poseemos se ha convertido ya no en un requisito de algunos clientes, sino en una buena práctica que todos deberían tener, encripta, encripta otra vez, y cuando ya estén encriptados, vuelve a encriptar.

Y por supuesto, mejora constante, formación y laboratorios, no solo técnicos sino también de cumplimiento normativo, todos los departamentos IT sean de Ciberseguridad o no deberían estar en reciclaje continuo.

 

¿Estamos solos en esto?

A veces podemos sentirnos solos en los departamentos de Ciberseguridad, pero los usuarios cada vez están más concienciados de la importancia de hacer un uso responsable de las herramientas corporativas.

Esto no va a suceder de la noche a la mañana, es importante hacer una campaña informativa, y explicar cuáles son esas buenas prácticas. Como técnicos, no podemos dar por hecho que todo el mundo conoce lo que es un correo de phishing, un spyware, un malware, o usar siempre de ejemplo a Cryptolocker/Wannacry (esto último tristemente famoso por los eventos del año pasado), así que hablemos el idioma del negocio que no está para nada reñido con hablar el de los 0’s y los 1’s.

 

Y por último, sintámonos orgullosos de nuestros departamentos de Ciberseguridad, porque en un futuro no muy lejano, marcarán una diferencia significativa con nuestra competencia a la hora de aportar valor a nuestros clientes.

 

Ana Castillo López  

Responsable de Ingeniería IT (Ciberseguridad, Sistemas, Redes, Voz)

Avanza Externalización de Servicios

Compartir